Identyfikacja ryzyk wg ISO 31000

  • Facebook
  • Twitter
  • Delicious
  • LinkedIn
  • StumbleUpon
  • Add to favorites
  • Email
  • RSS

Proces identyfikacji ryzyk wg ISO 31000 dla organizacji rozpoczyna nam cały cykl zarządzania ryzykiem. Na tym etapie, zazwyczaj w grupie roboczej, analizowana jest działalność organizacji oraz jej otoczenia. W trakcie identyfikacji ryzyk organizacja powinna zadać sobie następujące pytania:

  • Co jest głównym czynnikiem sukcesu organizacji?
  • Jakie są główne zagrożenia związane z działalnością organizacji – zarówno wynikające z jej otoczenia oraz wnętrza organizacji?
  • Jakie procesy podstawowe wspierają działalność organizacji oraz jakie systemy je wspierają?
  • Jakie dane są „wrażliwe” i które z nich największą wartość?
  • Które aktywa organizacji chronić?
  • Jakie są zagrożenia poszczególnych aktywów?
  • Jakie są podatności ww. systemów i procesów?
  • Jakie ryzyka już wystąpiły?

W poszukiwaniu zagrożeń naszą analizę można podzielić na obszary np. ludzie, procesy, technologia, środowisko, w tym prawo i regulacje. Na poszczególne ryzyka warto również patrzyć z perspektywy:

  • zagrożeń – definiuje zjawisko,  którego wystąpienie może negatywnie wpłynąć na organizację;
  • podatności – słabość lub luka, której wykorzystanie może być źródłem zagrożenia powodującym szkody zasobów lub biznesu (podatnością jest na pprzykład brak zabezpieczenia aktywu);
  • skutku – konsekwencje dla organizacji w wyniku urzeczywistnienia się zagrożenia, może go wyrazić  za pośrednictwem wartość np. poniesionych strat.

Atrybuty „zagrożenie” i „podatność” stanowią warunek urzeczywistnienia się ryzyka. Istnienie podatności nie powoduje szkody, musi istnieć dodatkowo zagrożenie, które urzeczywistnia się poprzez wykorzystanie źródła zagrożenia, którym może być np. człowiek.

W pierwszej fazie analizy ryzyk wg ISO 31000, definiujemy możliwie jak najwięcej ryzyk, następnie je grupujemy oraz poddajemy ocenie. O metodach oceny ryzyk napiszemy w kolejnej części.

Podziel się

Pinterest